Защищено: почему кибербезопасность не работает без управления активами
Знаете ли вы все активы, через которые компанию может атаковать злоумышленник? Они могут быть как материальными (компьютеры), так и нематериальными (приложения и данные). Незнание того, что является активами организации, где они находятся и в каком состоянии, чревато для бизнеса недопустимыми событиями и репутационными рисками. О том, как установить полный контроль над своими активами и не допустить проникновения злоумышленников в инфраструктуру организации, рассказывает Зоя Гуревич, руководитель продукта для управления активами компании Positive Technologies.
Ключ к киберустойчивости организации
Скорость изменений такова, что с развитием инфраструктуры организаций и ростом количества сервисов обеспечивать их защищенность становится все сложнее. Обнаружить на ранних этапах избыточные или устаревшие сведения, выявить потенциально уязвимые места хранения и учесть их в дальнейшем планировании мер защиты информации позволяет технология управления активами.
Управление активами (asset management, AM) — это комплексный подход к идентификации, организации и защите цифровых активов организации. Активами могут быть как материальные устройства, например, компьютеры, так и цифровые — программные приложения и данные, хранящиеся на различных платформах. Без четкого понимания, какими активами обладает компания, как они взаимосвязаны, а также без статуса их безопасности организация будет уязвимой для кибератак.
Оградить периметр крупной компании достаточно сложно. Более того, согласно нашему исследованию, доля утечек учетных данных организаций в первой половине 2024 года достигла 21%. На теневых форумах продают доступ к ключевым активам предприятий, взломщики проникают в сети и останавливают бизнес-процессы для получения выкупа или шантажируют владельцев украденной информацией. По нашим данным, Россия возглавила рейтинг стран по количеству объявлений о продаже баз данных компаний на теневых форумах. Поэтому для противодействия атакам необходимо, с одной стороны, максимально растянуть атаку во времени, затруднив хакеру его работу на пути к цели. Это можно сделать через сегментацию инфраструктуры, шифрование данных или применение обманных систем. С другой стороны, важно максимально сократить время на реагирование, чтобы любое действие злоумышленника, малейшее аномальное поведение во внутренней сети компании мгновенно определялось службой ИБ.
С каждым технологическим обновлением корпоративных устройств, подключаемых к сети организации, возрастает сложность управления и защиты цифровых активов. В Positive Technologies мы придерживаемся позиции, что стратегия защиты должна строиться исходя из того, что злоумышленник может проникнуть в инфраструктуру компании, но при этом не сможет реализовать инцидент и будет вовремя выбит из контура. Такой подход — важный элемент результативной безопасности.
Управление активами — нулевой этап результативной кибербезопасности
В основе методологии результативной кибербезопасности лежат недопустимые события и невозможность их реализации в ходе кибератак. Для этого необходимо не только определить подобные события, но и перенести их на IT-инфраструктуру компании. В этом помогает инвентаризация или, другими словами, управление активами. Специалистам важно выделить точки проникновения (например, системы, доступные из внешней сети, компоненты беспроводных сетей, рабочие места сотрудников с удаленными подключениями) и уязвимости на них, чтобы ограничить круг активов, требующих усиленной защиты от внешних атак. Это поможет выделить системы, вывод которых на внешний сетевой периметр действительно нужен компании.
«Кроме того, стоит регулярно проводить инвентаризацию ключевых и целевых систем, поскольку именно через них злоумышленник может реализовать недопустимое событие».
Чтобы ответить на вопрос, где искать точки проникновения и уязвимости на них, мы должны понимать, из чего состоит инфраструктура, какие в ней есть узлы. Поэтому управление уязвимостями (vulnerability management, VM) и управление активами всегда должны идти рука об руку. Инвентаризация, как правило, реализуется силами IT-департамента на основе CMDB-систем (база данных управления конфигурацией — оборудованием, программным обеспечением и сетями, используемыми в организации), но может проводиться и подразделением информационной безопасности. Дело в том, что IT-департамент не всегда делает акцент на тех системах, которые важны для ИБ, и не очень охотно делится информацией со специалистами по ИБ.
Результативный подход к кибербезопасности заключается в способности дать полные и точные ответы на вопросы о том, что, где и зачем происходит в защищаемой инфраструктуре. Службам ИБ необходимо знать, какие узлы есть в сети, что они представляют собой с точки зрения операционной системы, набора системного и прикладного программного обеспечения (в том числе версии ПО, конфигурации и активности). Помимо этого, у специалистов по ИБ должно быть понимание фактической сегментации сети и достижимости для злоумышленников конкретных узлов, портов и сервисов.
Поэтому технология управления активами легла в основу системы управления уязвимостями MaxPatrol VM, которая позволяет получать информацию о трендовых уязвимостях в течение 12 часов. Благодаря asset management система работает на основе единых актуальных знаний об IT-инфраструктуре организации и может построить ее актуальную и полную модель в любой момент для наиболее точной оценки ее защищенности. Эта, по сути, непрерывная инвентаризация инфраструктуры — не цель, а средство, позволяющее любому подразделению ИБ рассчитывать на нереализуемость недопустимых событий. Такой подход помогает обеспечивать киберустойчивость — способность информационной системы непрерывно функционировать в условиях кибератак.
Упрощение через стратегию
Часто задача управления активами кажется сложной, но ее можно упростить, если реализовать несколько стратегических шагов:
Чек-лист: как сделать организацию безопаснее
Инвентаризация активов закладывает основу для безопасной цифровой среды, позволяя бизнесу бороться с вызовами, которые бросают злоумышленники. Выстроенное управление активами может позволить руководителям бизнеса понимать, что активы их компании не только учтены, но и надежно защищены, а значит, у злоумышленников меньше шансов реализовать недопустимое событие.
Этот материал опубликован на платформе бизнес-сообщества Forbes Экспертиза
Ключ к киберустойчивости организации
Скорость изменений такова, что с развитием инфраструктуры организаций и ростом количества сервисов обеспечивать их защищенность становится все сложнее. Обнаружить на ранних этапах избыточные или устаревшие сведения, выявить потенциально уязвимые места хранения и учесть их в дальнейшем планировании мер защиты информации позволяет технология управления активами.
Управление активами (asset management, AM) — это комплексный подход к идентификации, организации и защите цифровых активов организации. Активами могут быть как материальные устройства, например, компьютеры, так и цифровые — программные приложения и данные, хранящиеся на различных платформах. Без четкого понимания, какими активами обладает компания, как они взаимосвязаны, а также без статуса их безопасности организация будет уязвимой для кибератак.
Оградить периметр крупной компании достаточно сложно. Более того, согласно нашему исследованию, доля утечек учетных данных организаций в первой половине 2024 года достигла 21%. На теневых форумах продают доступ к ключевым активам предприятий, взломщики проникают в сети и останавливают бизнес-процессы для получения выкупа или шантажируют владельцев украденной информацией. По нашим данным, Россия возглавила рейтинг стран по количеству объявлений о продаже баз данных компаний на теневых форумах. Поэтому для противодействия атакам необходимо, с одной стороны, максимально растянуть атаку во времени, затруднив хакеру его работу на пути к цели. Это можно сделать через сегментацию инфраструктуры, шифрование данных или применение обманных систем. С другой стороны, важно максимально сократить время на реагирование, чтобы любое действие злоумышленника, малейшее аномальное поведение во внутренней сети компании мгновенно определялось службой ИБ.
С каждым технологическим обновлением корпоративных устройств, подключаемых к сети организации, возрастает сложность управления и защиты цифровых активов. В Positive Technologies мы придерживаемся позиции, что стратегия защиты должна строиться исходя из того, что злоумышленник может проникнуть в инфраструктуру компании, но при этом не сможет реализовать инцидент и будет вовремя выбит из контура. Такой подход — важный элемент результативной безопасности.
Управление активами — нулевой этап результативной кибербезопасности
В основе методологии результативной кибербезопасности лежат недопустимые события и невозможность их реализации в ходе кибератак. Для этого необходимо не только определить подобные события, но и перенести их на IT-инфраструктуру компании. В этом помогает инвентаризация или, другими словами, управление активами. Специалистам важно выделить точки проникновения (например, системы, доступные из внешней сети, компоненты беспроводных сетей, рабочие места сотрудников с удаленными подключениями) и уязвимости на них, чтобы ограничить круг активов, требующих усиленной защиты от внешних атак. Это поможет выделить системы, вывод которых на внешний сетевой периметр действительно нужен компании.
«Кроме того, стоит регулярно проводить инвентаризацию ключевых и целевых систем, поскольку именно через них злоумышленник может реализовать недопустимое событие».
Чтобы ответить на вопрос, где искать точки проникновения и уязвимости на них, мы должны понимать, из чего состоит инфраструктура, какие в ней есть узлы. Поэтому управление уязвимостями (vulnerability management, VM) и управление активами всегда должны идти рука об руку. Инвентаризация, как правило, реализуется силами IT-департамента на основе CMDB-систем (база данных управления конфигурацией — оборудованием, программным обеспечением и сетями, используемыми в организации), но может проводиться и подразделением информационной безопасности. Дело в том, что IT-департамент не всегда делает акцент на тех системах, которые важны для ИБ, и не очень охотно делится информацией со специалистами по ИБ.
Результативный подход к кибербезопасности заключается в способности дать полные и точные ответы на вопросы о том, что, где и зачем происходит в защищаемой инфраструктуре. Службам ИБ необходимо знать, какие узлы есть в сети, что они представляют собой с точки зрения операционной системы, набора системного и прикладного программного обеспечения (в том числе версии ПО, конфигурации и активности). Помимо этого, у специалистов по ИБ должно быть понимание фактической сегментации сети и достижимости для злоумышленников конкретных узлов, портов и сервисов.
Поэтому технология управления активами легла в основу системы управления уязвимостями MaxPatrol VM, которая позволяет получать информацию о трендовых уязвимостях в течение 12 часов. Благодаря asset management система работает на основе единых актуальных знаний об IT-инфраструктуре организации и может построить ее актуальную и полную модель в любой момент для наиболее точной оценки ее защищенности. Эта, по сути, непрерывная инвентаризация инфраструктуры — не цель, а средство, позволяющее любому подразделению ИБ рассчитывать на нереализуемость недопустимых событий. Такой подход помогает обеспечивать киберустойчивость — способность информационной системы непрерывно функционировать в условиях кибератак.
Упрощение через стратегию
Часто задача управления активами кажется сложной, но ее можно упростить, если реализовать несколько стратегических шагов:
- Составьте подробный список всех цифровых активов, включая оборудование и программное обеспечение. Это важно сделать, потому что инструменты автоматизации могут сыграть ключевую роль в упрощении процесса AM.
- Оцените важность и чувствительность каждого актива. Это поможет эффективно распределять ресурсы и меры безопасности, сосредотачиваясь на защите самых ценных и уязвимых активов.
- Внедряйте меры безопасности, адаптированные к специфическим потребностям каждого актива: например, шифрование, контроль доступа и регулярное обновление программного обеспечения.
- Систематически мониторьте новые уязвимости и угрозы, чтобы вовремя успевать реагировать на действия злоумышленников.
- Человеческий фактор также остается уязвимостью в инфраструктуре компании. Важно формировать культуру кибербезопасности среди сотрудников.
Чек-лист: как сделать организацию безопаснее
- Обсудите с отделами IТ и ИБ, имеется ли в компании полный и актуальный список всех аппаратных и программных активов компании? Как часто команды обмениваются этой информацией?
- Знаете ли вы, на каких активах хранится конфиденциальная информация и какие активы участвуют в процессах, нарушение которых приведет к недопустимым событиям для бизнеса?
- Проводите ли вы регулярный аудит и инвентаризацию всех активов?
- Управляете ли вы лицензиями на программное обеспечение, следите ли за сроками их действия и соответствием количеству пользователей?
- Соблюдаете ли вы внутренние и внешние нормативные требования по управлению активами?
- Готовы ли вы предоставить отчетность по состоянию активов в любое время?
Инвентаризация активов закладывает основу для безопасной цифровой среды, позволяя бизнесу бороться с вызовами, которые бросают злоумышленники. Выстроенное управление активами может позволить руководителям бизнеса понимать, что активы их компании не только учтены, но и надежно защищены, а значит, у злоумышленников меньше шансов реализовать недопустимое событие.